eLog快速入门培训胶片

2023/2/1eLog快速入门培训目录角色介绍申请License登录系统初始化配置典型操作指导角色介绍用户角色遵循三权分立原则，系统角色可以分为管理员，审计员，操作员，一个用户只能属于一类角色。管理员：负责系统的维护，包括采集器管理，用户管理，设备管理和默认策略的设置审计员：对系统的用户操作进行审计，查看系统的操作日志。。操作员：执行具体业务操作的用户角色。包括报表任务定制，报表查询，日志查询，告警监控等业务功能申请License步骤1：从eLog日志管理系统的安装光盘中找到ESN（EquipmentSerialNumber）码获取工具“GetESN.exe”，拷贝到要安装日志服务器的机器后，双击运行。申请License步骤2：单击“copy”，将ESN码拷贝到文本文档中粘贴。步骤3：从发货附件中找到License授权证书，从证书上获取LAC码。步骤4：将ESN码和LAC码一起发送到license@华为赛门铁克技术支持工程师收到您的邮件后会尽快处理，并

将License发送到您的邮箱。登录系统步骤1：在IE浏览器的地址栏内输入https://IP/，其中IP需要替换为日志服务器的IP地址，并回车，首次登录必须以系统默认的管理员账号登录。

系统默认的管理员账号为：admin，密码为：Admin@123。登录系统步骤2：上传License。首次登录完成后请立即修改管理员密码。初始化配置在进行初始化配置前，请确保已在设备侧完成了日志发送功能的配置，包括：

1、调整设备的时区和时间与日志采集器的时区和时间一致。2、确认设备侧的日志记录功能已开启。3、配置日志接收主机的IP地址和端口。4、配置日志发送源接口。详细的配置方法请参见《SecospaceeLog日志管理系统产品文档》->操作指南和设备侧的相关配置手册。初始化配置

步骤1：添加日志采集器。

需要首先将日志采集器添加到系统中，eLog系统才能对设备的日志进行管理。初始化配置步骤2：添加设备。

在此，您可以将需要管理的设备全部添加到系统中，IP地址必须在日志采集器的管理域范围之内。

初始化配置

步骤3：添加角色。

角色介于设备和用户之间，将管理不同设备的权限赋予不同的角色，再将具有不同设备权限的角色分给不同的用户，实现不同的用户分类管理不同的设备。初始化配置步骤4：添加用户。

将具有不同设备权限的角色分给用户，控制用户对设备的管理权限。

初始化配置

步骤5：设置日志转储策略。您可配置在线日志存储空间的存储天数和磁盘使用率，当超过阈值时，系统自动将日志转存到转储空间。您也可以进行手动转储。转储日志存储空间也可设置预警阈值，当超过预警阈值时，系统将提醒您进行日志备份，当未处理导致超过滚动存储阈值时，系统自动覆盖最旧的日志数据。初始化配置步骤6：设置邮件服务器。

当需要通过Email方式发送系统的告警信息以及报表任务中定时生成的报表时，需要设置邮件服务器。初始化配置步骤7：设置会话时间和审计事件转储策略。

为了节省存储空间，请及时将会话事件和审计事件进行转储。初始化配置

步骤8：设置系统日志告警策略。对于比较重要的系统日志，如：日志服务器停止、日志采集器停止等等，建议设置告警方式，当有该类日志产生时，系统能及时产生告警通知管理员进行处理。典型操作指导——查询系统日志系统日志记录eLog系统运行过程中产生的日志，当系统运行出现问题时，可通过系统日志初步定位系统的故障。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->系统日志”。典型操作指导——查询操作日志操作日志记录eLog系统的用户在使用eLog过程中进行的操作，包括登录、登出、查询日志、设置策略等。审计员可以通过操作日志了解系统用户的行为。

步骤1：以审计员账号auditor登录eLog。

步骤2：选择“系统管理->操作日志”。典型操作指导——设置用户密码策略为了保障系统用户的密码安全，可设置用户的密码策略，提高密码的复杂度，以增强系统的安全性。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->系统配置->系统用户密码强度配置”。典型操作指导—查看存储空间的使用情况通过定期查看存储空间使用情况，可了解当前在线日志和转储日志的存储情况，当磁盘空间不足时能够及时进行处理，避免由于磁盘空间不足造成日志丢失。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->系统配置->日志转储策略设置”。典型操作指导——定位访问者（NAT追踪）通过查询防火墙的会话日志，您可以通过NAT后的源IP和目的IP定位到发起会话的源IP，达到监控内部用户上网行为的目的。

步骤1：配置防火墙发送二进制日志到日志采集器(配置方法请参见《SecospaceeLog日志管理系统产品文档》->操作指南)。

步骤2：以创建的操作员用户账号登录eLog。

步骤3：选择“日志审计->会话查询”。典型操作指导—设定最大登录次数和锁定时长设定最大登录次数之后，当用户登录次数超过此次数，用户账号即被锁定，在“锁定时长”里，用户无法再登录，除非由管理员为其解除锁定。可以进一步保障系统的安全，避免非法用户强力破解用户密码。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->在线用户管理”。典型操作指导——清除密码当操作员忘记密码后，管理员可以为操作员用户清除密码，清除后操作员可以用空密码登录系统。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->用户/角色管理”。典型操作指导——归并相同的会话防火墙会话日志量很大，为了减少日志量，您可以配置防火墙会话日志的归并策略，将指定时间内的相同条件的会话日志合并为一条，以节省存储空间。

步骤1：以管理员账号admin或新创建的操作员账号登录eLog。

步骤2：选择“策略管理->会话->归并策略设置”。典型操作指导—摒弃不关注的Eudemon/USG防火墙日志如果您想要采集器只采集您关注的日志，您可以设置过滤策略，摒弃不关注的Eudemon/USG防火墙日志。注意：被过滤掉的日志将无法在eLog中查询到，请谨慎操作。

步骤1：以管理员账号admin或新创建的操作员账号登录eLog。

步骤2：选择“策略管理->Eudemon/USG防火墙->过滤策略设置”。典型操作指导—查看日志审计的告警您可以对高危操作和异常行为设置审计策略，并设置针对此审计策略的告警，一旦设备上有这种日志产生，系统便会产生告警，通知管理员。

步骤1：以管理员账号admin登录eLog。

步骤2：选择“系统管理->设备管理”，添加非Eudemon/USG设备（以Apache应用服务器为例）。典型操作指导—查看日志审计的告警步骤3：选择“系统管理->用户/角色管理”，如果角色已存在，单击要管理Apache设备的角色右侧的，修改角色管理的设备类型和型号。

如果角色不存在，请添加角色。

典型操作指导—查看日志审计的告警步骤4：添加用户。

如果用户已存在，且已经属于步骤3的角色，可跳过此步。如果用户已存在，但是不属于步骤3的角色，单击，将角色添加给用户。如果用户不存在，请添加用户。典型操作指导—查看日志审计的告警